Geldautomaten sind im Prinzip nichts anderes als Computer mit einem Tresor im Inneren. Deshalb sind sie seit Jahren immer wieder das Ziel von Hackerangriffen. Wenn Sie wissen wollen, ob der Bankautomat, den Sie benutzen, gehackt wurde, geben Sie statt Ihrer PIN einfach mal folgende Ziffernreihe ein: 000507607999.

Falls dann auf dem Bildschirm ein Menü erscheint, das Sie noch nie gesehen haben, sollten Sie besser die Bank informieren.

Zwei Sicherheitsforscher haben beim 30. Chaos Communication Congress (30C3) in Hamburg erklärt, wie Kriminelle mit großem Aufwand eine Reihe von Bankautomaten mit Schadsoftware kompromittiert und anschließend immer wieder unbemerkt Bargeld herausgeholt haben. Sie konnten die Funktionsweise der Schadsoftware per Reverse Engineering nachvollziehen und zeigten sich schwer beeindruckt.

Der Code sei offenbar über einen längeren Zeitraum immer wieder verbessert worden, das lege schon die Versionsnummer 1.5.0.1 nahe. Das Ganze sei das Werk hochprofessioneller Programmierer, sagt einer der beiden Forscher. Und hochprofessioneller Gangster, weshalb er und seine Kollegin nur unter Pseudonym in Hamburg auftraten. Auch im Nachhinein wollten sie lieber nicht namentlich genannt werden, sagte er später im Gespräch. Eine Vorsichtsmaßnahme, obwohl der "elektronische Banküberfall" – so lautete der Titel des Vortrags – gar nicht in Europa stattgefunden hat.

Es war nicht das erste Mal, dass Hacker einen Geldautomaten übernommen haben. 2010 zum Beispiel präsentierte der im vergangenen Sommer gestorbene Barnaby Jack auf der Blackhat-Konferenz in Las Vegas zwei Wege, bestimmte Geldautomaten auszuräumen. Und im Jahr zuvor war in Osteuropa eine Schadsoftware aufgetaucht, die es Kriminellen ebenfalls ermöglichte, an das Bargeld in einem Automaten zu gelangen. Alle diese Hacks funktionieren nur unter bestimmten Bedingungen und sind unterschiedlich "elegant". Eines aber haben sie gemeinsam: Möglich waren sie, weil in den meisten Geldautomaten ein PC mit einem Windows-Betriebssystem steckt.

Die Schwachstellen solcher PCs sind hinlänglich bekannt, für kein Betriebssystem existiert mehr Schadsoftware als für die Windows-Familie. Die Hersteller nutzen Windows dennoch. Denn erstens wird jede Windows-Version jahrelang von Microsoft gepflegt, der Hersteller muss es nicht selbst übernehmen. Zweitens sind die Computer in den Automaten so immer auch mit den vielen anderen Windows-Rechnern in den Banken kompatibel. Und drittens sind Bankautomaten nicht ganz mit normalen PCs vergleichbar: Sie sind nicht mit dem öffentlichen Internet verbunden, weshalb übliche Infektionswege wie verseuchte E-Mail-Anhänge schlicht entfallen. Sie sind also nicht so gefährdet wie die Computer normaler Anwender.

PCs im Inneren werden unterschiedlich gut abgesichert

Die Lizenzkosten für ein Windows-System sind zudem immer noch niedriger als die Kosten für Entwickler, die eine maßgeschneiderte Lösung zum Beispiel auf Linux-Basis bauen und anschließend pflegen könnten. 

Abgesehen davon sind die Hackerangriffe, wie sie 2010 in Las Vegas und 2013 in Hamburg gezeigt wurden, prinzipiell auch gegen andere Systeme möglich. Entscheidend ist, wie der Geldautomat und der PC darin gegen Angriffe abgesichert und gehärtet werden. Das handhaben die Hersteller und die Banken weltweit sehr unterschiedlich.

Die feindliche Übernahme jedenfalls, wie sie die beiden Forscher in Hamburg schilderten, lief über vergleichsweise offensichtliche Hintertüren ab. Die Gangster wussten etwa, dass die von ihnen ausgewählten Automaten eine versteckte USB-Buchse für den Anschluss etwa eines Druckers haben. Sie schnitten die Verkleidungen der – offenbar nicht videoüberwachten – Maschinen auf und steckten USB-Sticks mit speziell auf die jeweiligen Geräte zugeschnittener Malware in die Buchsen.